史諾登揭露的美國國安局「稜鏡門」監聽醜聞,真是一波未息、一波又起,而此次拖出了全球加解密之龍頭資安廠商:RSA(已被 EMC 併購)!路透社20日報導,路透社綜合史諾登所公布出的機密檔案,以及兩位知情人士之訪談,獲知美國國安局以約三億台幣的佣金,買通了 RSA,刻意協助美國國安局大量散播有弱點的加解密亂碼產生機制,以達成後門效應,讓美國國安局得以大量解密網路上之資料。

RSA 產品被各國大量運用於加解密需求上,例如台灣的自然人憑證(稍早學者質疑安全性)、醫事憑證IC卡等,就使用到了 RSA。RSA 演算法由三位知名密碼學專家所共同發明:Ron "R"ivest、Adi "S"hamir、與 Len "A"dleman,三位也因此於 2002 年獲得計算機科學界的諾貝爾獎:杜林獎(Turing Award)。他們也同時是 RSA 公司的共同創辦人。

RSA 每年負責舉辦資安界最大的產業會議:RSA Conference,每年 Rivest 與 Shamir 都會上台參加論壇。阿碼科技從 2006 年起便每年參加並設攤位展示我們的技術與產品,而我本人也擔任過兩年的講師。朋友問此事對於 RSA 公司的影響;我覺得我們得想此案對於整個資安界的影響。如果連 RSA 這種不論規模或聲望都是資安界龍頭的廠商,也會有這種事情發生,那麼到底還發生過多少類似事件?以後類似事件是否會持續(於台面下)發生?

當然,在史諾登揭露「稜鏡門」監聽案前,美國國安局於主流作業系統與加解密系統中埋後門一事,早有許多人跳出來指證,也引起不少專家猜測。然而指證歸指證、猜測歸猜測,大家始終沒半法確定其真實性。此次史諾登算是平反了許多當時被質疑的專家學者吧!但這麼肯定的答案,發生在你我身邊,也不免讓我們的生活,蒙上了更厚的一層陰影。剛看到報導:『台灣二○一三代表字大選昨揭曉,「假」字以一萬七千七百九十票登上寶座,囊括近三成票數,遙遙領先第二名的「黑」字』。我想不論是「假」字或「黑」字,都可以是全球 2013 年的代表字吧!

下圖為今年 RSA Conference 2013 論壇之照片,左二為 Whitfield Diffie(B 點中我們提到的 Diffie-Hellman 的 Diffie),左三為 Rivest,左四為 Shamir:

(來源:Gemini Security Solutions

關於此案細節部分,路透社的報導技術層面不夠深入,於是我自己做了一些功課,並整理重點分享如下:

1. 隨著加解密演斷法的進步,美國國安局早就開始擔心該單位將無法破解未來之主流加密演算法。知名密碼學者 Hellman 就曾表示,美國國安局曾數度希望說服他以及其他密碼學家,不需要用這麼大的金鑰來對資料加密。

2. 柯林頓時代,由於網路之興起,讓美國國安局更加注重其解密網路資料之能力,於是開始發展Clipper 解密晶片計畫。

3. RSA 於90年代率先以「擊沉 Clipper」為標語,帶領業界與輿論反對 Clipper 解密晶片計畫,形象良好並一直以保護個人與企業資料為其宗旨,不料此次卻牽扯入「稜鏡門」監聽醜聞。下圖為當時 RSA 打擊 Clipper 之文宣:
來源: eff.org

4. RSA 加解密架構本身問題不大,可是其搭配的亂數產生器,卻可能導致問題。美國國安局了解到這一點後,於內部自行研發了有弱點之亂數產生器:雙橢圓演算法(Dual Elliptic Curve Deterministic Random Bit Generation, Dual EC DRBG),並由 RSA 在美國國家標準局(NIST)尚未對該演算法審核通過前,率先採用,並設定為內定(default)之亂數產生器。RSA 內部沒有反對聲音,因為該決定為公司高層之決定,而非技術團隊之決定。

5. 不久候,雙橢圓大受質疑,知名資安研究員 Bruce Schneier(布魯斯·施奈爾)更公開批評:「這個演算法的弱點根本就是一個後門!」(M Green 有寫詳細漏洞解說

6. 壓力促使 RSA 發佈消息,請客戶不要選擇使用雙橢圓演算法,但是一反「擊沉 Clipper」時代的作風,這次十分低調並且不願解釋此事件與美國國安局之關係。

路透社之報導大概如上,我則另外整理資料於下:

A. 2010 年底,前 NETSEC 技術長 Gregory Perry 寄 emailOpenBSD 創辦人 Theo de Raadt,指控 NETSEC 工程師曾協助美國國安局,於 OpenBSD 的加解密模組 OCF 中植入後門。

B. 2012 年初,Gregory Perry 再次 email Theo de Raadt,認為美國國安局因為已經掌握 RSA 之弱點,而蓄意推廣 RSA,並放寬其出口限制。他說當時主流演算法是 Diffie-Hellman(就是剛才第 (1) 點提的 Hellman 先生),而該演算法並沒有 RSA 的弱點,所以讓美國國安局無機可乘。這即是為何美國國安局故意推廣 RSA 取代 Diffie-Hellman 之原因。

C. 朝陽科技大學資訊管理系副教授 洪朝貴 老師,於今年八月即對此 RSA 弱點與美國國安局之操作提出猜測與技術細節,令人佩服。

D. 此消息從九月份開始走漏,主要揭露媒體為紐約時報:「美國政府迫使廠商交出主金鑰,或植入後門。國安局則偷偷將弱點置入全球工程師通用的標準加密演算法中。」

E. 紐約時報報導刊出後二週,RSA 低調建議其使用者停止使用內定之雙橢圓演算法,並承認受影響之產品與技術包含:RSA BSAFE Toolkits 所有版本、Crypto-C ME 所有版本、Crypto-C Micro Edition Suite 所有版本、 Crypto-J 所有版本、Cert-J 所有版本、SSL-J 所有版本、Crypto-C 所有版本、Cert-C 所有版本、以及 SSL-C 所有版本。同時,RSA Data Protection Manager (DPM) server 所有版本以及 client 所有版本亦皆受影響。

----- 後續發展 1 -----
12月24日:
來自資安界最強烈的抗議!資安大師 Mikko Hypponen 取消 RSA 演講,抗議 RSA 與美國國安局。兩週前才來台演講的知名芬蘭資安大師 Mikko Hypponen 今天於公開信中表示,取消今年之 RSA 演講。Mikko Hypponen 說:

「美國國安局的亂數產生器是故意設計了有弱點,造成後門效應。雖然遭受資安界眾多研究員質疑,貴公司仍然多年堅持使用之。...美國情報單位監聽對象主要是外國人。我是外國人,我拒絕支持你們的會議。」

對他有興趣的朋友可以看一下他有中文字幕的 Ted 的演講:「打擊電腦病毒,捍衛網路安全

也可以下載他最新2013年10月的演講:「Mikko Hypponen 談美國國家安全局如何背叛世界的信任-是行動的時候了」(中文字幕由朱學恆編輯)

----- 後續發展 2 -----
12月28日:紐約法官裁定 NSA監聽電話合法 --中國時報轉述紐約時報報導
美國紐約一位法官27日裁定,美國國家安全局(NSA)進行電話監聽為合法行為,在與「基地」恐怖組織作戰時,有其必要。

紐約南區聯邦地院法官保雷(William Pauley)在其54頁裁決書中寫道,本庭面對的問題是,政府大量監聽電話的計畫是否合法,而本庭認為合法。

----- 後續發展 3 -----
不只是概念:後門的 POC 程式出來了,此後門確定可以被利用。

(NSA 監聽圖示來源:Grolltech/CC)
(本文感謝 Pichu Chen 提供相關資料)
對創業議題有興趣嗎?歡迎關注韋恩(阿碼 黃耀文):